Certificados são como uma confirmação de que a mensagem enviada para você é original e não violada. É claro que existem métodos para falsificar as confirmações, como o certificado SuperFish da Lenovo, e falaremos sobre isso por um tempo. Este artigo explica o que são certificados raiz no Windows e se você deve atualizá-los - porque o Windows sempre os mostra como atualizações não críticas.
Como funciona a criptografia de chave pública?
Antes de falar sobre Certificados Raiz, é necessário dar uma olhada em como a criptografia funciona no caso de conversas na web, entre site e navegadores ou entre dois indivíduos na forma de mensagens.
Existem muitos tipos de criptografia, dos quais dois são essenciais e são usados extensivamente para diferentes propósitos.
- Criptografia simétrica é usado onde você tem uma chave, e somente essa chave pode ser usada para criptografar e descriptografar mensagens (usada principalmente em comunicações por email)
- Criptografia assimétrica, onde existem duas chaves. Uma dessas chaves é usada para criptografar uma mensagem enquanto a outra é usada para descriptografar a mensagem.
A criptografia de chave pública tem uma chave pública e privada. As mensagens podem ser decodificadas e criptografadas usando um dos dois. O uso de ambas as chaves é essencial para completar uma comunicação. A chave pública é visível para todos e é usada para garantir que a origem da mensagem seja exatamente a mesma que parece ser. A chave pública criptografa os dados e é enviada para o destinatário que possui a chave pública. O destinatário descriptografa os dados usando a chave privada. Uma relação de confiança é estabelecida e a comunicação continua.
Tanto a chave pública como a privada contêm informações sobre o Autoridade de emissão de certificados como EquiFax, DigiCert, Comodo e assim por diante. Se o seu sistema operacional considera a autoridade de emissão do certificado como confiável, as mensagens são enviadas de um lado para outro entre o navegador e os sites. Se houver um problema na identificação da autoridade emissora do certificado ou se a chave pública expirar ou estiver corrompida, você verá uma mensagem dizendo Existe um problema com o certificado do site.
Agora falando sobre criptografia de chave pública, é como um cofre de banco. Tem duas chaves - uma com o gerente da filial e outra com o usuário do cofre. O cofre é aberto apenas se as duas chaves forem usadas e correspondidas. Da mesma forma, tanto a chave pública quanto a privada são usadas ao estabelecer uma conexão com qualquer site.
O que são certificados raiz no Windows?
Certificados raiz são o nível primário de certificações que informam ao navegador que a comunicação é genuína. Esta informação de que a comunicação é genuína é baseada na identificação da autoridade de certificação. Seu sistema operacional Windows adiciona vários certificados raiz como confiáveis para que seu navegador possa usá-lo para se comunicar com sites.
Isso também ajuda na criptografia de comunicações entre os navegadores e sites e automaticamente faz com que outros certificados sejam válidos. Assim certificado tem muitos ramos. Por exemplo, se um certificado do Comodo for instalado, ele terá um certificado de nível superior que ajudará os navegadores da Web a se comunicarem com sites de maneira criptografada. Como uma ramificação no certificado, o Comodo também inclui certificados de email, que serão automaticamente confiáveis por navegadores e clientes de email porque o sistema operacional marcou o certificado raiz como confiável.
Os Certificados Raiz determinam se uma sessão de comunicação com um site deve ser aberta. Quando um navegador da Web se aproxima de um site, o site fornece uma chave pública. O navegador analisa a chave para ver quem é a autoridade emissora do certificado, se a autoridade é confiável de acordo com o Windows, a data de expiração do certificado (se o certificado ainda é válido) e coisas semelhantes antes de se comunicar com o site. Se alguma coisa estiver fora de ordem, você receberá um aviso, e seu navegador poderá bloquear todas as comunicações com o site.
Por outro lado, se tudo estiver bem, as mensagens são enviadas e recebidas pelo navegador conforme a comunicação acontece. Com cada mensagem recebida, o navegador também verifica a mensagem com sua própria chave privada para ver se não é uma mensagem fraudulenta. Ele responde apenas se puder descriptografar a mensagem usando sua própria chave privada. Assim, ambas as chaves são necessárias para continuar as comunicações. Além disso, todas as comunicações são transportadas em modo criptografado.
Certificados Raiz Falsos
Há casos em que empresas, hackers etc. tentam enganar os usuários. O caso recente de um certificado inválido sendo confiável como root ainda está fazendo as rodadas. Este foi o certificado "SuperFish" nos computadores da Lenovo. O adware Superfish instalou um certificado raiz que parecia legítimo e permitia que os navegadores continuassem a comunicação com os sites. No entanto, o sistema de criptografia era tão fraco que poderia ser facilmente explorado.
A Lenovo informou que quer melhorar a experiência de compra dos usuários e, em vez disso, expôs seus dados privados a hackers à espreita na Internet. Estes dados privados podem ser qualquer coisa, incluindo informações de cartão de crédito, número de segurança social, etc. Se você tiver uma máquina Lenovo, certifique-se de não ter o adware instalado, verificando os certificados confiáveis em seus navegadores. Se houver, atualize e execute o Windows Defender para se livrar do certificado. Há também uma ferramenta de remoção automática liberada pela Lenovo.
Você pode verificar Certificados Raiz do Windows não assinados ou não confiáveis usando o Verificador de Certificados Raiz ou o SigCheck.
Conclusão
Certificados raiz são importantes para que seus navegadores possam se comunicar com os sites. Se você excluir todos os certificados confiáveis, por curiosidade ou por segurança, sempre receberá uma mensagem de que está em uma conexão não confiável. Você pode baixar certificados raiz confiáveis através do Programa de Certificados Raiz do Microsoft Windows, se você acha que não possui todos os certificados raiz adequados.
Você deve sempre verificar as atualizações não críticas de vez em quando para ver se há atualizações disponíveis para certificados raiz. Se sim, baixe-os usando apenas o Windows Update e não de sites de terceiros.
Também há certificados falsos, mas as chances de você obter os certificados falsos são limitadas - somente quando o fabricante do computador adiciona um à lista de certificados raiz confiáveis, como a Lenovo fez, ou quando você faz o download de certificados raiz de sites de terceiros. É melhor se ater à Microsoft e deixar que ela lide com os certificados raiz, em vez de ir por conta própria para instalá-los de qualquer lugar na Internet. Você também pode ver se um certificado raiz é confiável abrindo-o e executando uma pesquisa no nome da autoridade emissora do certificado. Se a autoridade parece ser de renome, você pode instalá-lo ou mantê-lo. Se você não puder identificar a autoridade emissora do certificado, é melhor removê-la.
Em uma semana ou duas, veremos como gerenciar certificados de raiz confiável.
